安卓系統(tǒng)年度大漏洞曝光,每日上千萬的活躍安卓應用存在被利用可能,上億用戶都在受影響之列。12月4號,Google通過其官方網(wǎng)站通告了高危漏洞CVE-2017-13156(發(fā)現(xiàn)廠商命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機制,對未正確簽名的官方應用植入任意代碼,目前安卓5.0—8.0等個版本系統(tǒng)均受影響。
據(jù)了解,該漏洞存在于Android系統(tǒng)用于讀取應用程序簽名的機制中,會在不影響應用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼。如果有人想用惡意指令打包成一款應用,安卓系統(tǒng)仍會將其視為可信任應用。
而該漏洞產(chǎn)生的根源在于:一個文件可以同時是APK文件和DEX文件。騰訊安全聯(lián)合實驗室反詐騙實驗室負責人李旭陽指出,攻擊者可以利用該漏洞,將一個惡意的DEX文件與原始APK文件進行拼接,由于Android系統(tǒng)的V1簽名方案在驗證簽名時舍棄掉了APK文件前面嵌入的這部分內(nèi)容,從而不影響APK文件的簽名Android運行時將該植入惡意DEX文件的APK文件看作是之前應用的合法升級版本并允許這種安裝,從而執(zhí)行惡意DEX代碼。
(Janus漏洞原理)
李旭陽強調(diào),如果被嵌入惡意DEX代碼的應用包含高權限如系統(tǒng)應用,那么該惡意應用可繼承其高權限,訪問系統(tǒng)的敏感信息,甚至完全接管系統(tǒng)。
自Android系統(tǒng)問世以來,就要求開發(fā)者對應用進行簽名。在應用進行更新時,只有更新包的簽名與現(xiàn)有的app的簽名一致的情況下,Android運行時才允許更新包安裝到系統(tǒng)。若app被惡意的攻擊者修改,系統(tǒng)會拒絕安裝此更新。這樣可以保證每次的更新一定來自原始的開發(fā)者。
本次曝光的漏洞涉及應用的開發(fā)層面,一旦被不法分子利用,影響用戶量級將過億。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”,并認為這是安全年度大洞。
騰訊安全聯(lián)合實驗室反詐騙實驗室建議廣大用戶安裝并使用手機管家等安全軟件,同時不要安裝不明來源的應用;對于APP應用廠商而言,應使用signature scheme v2重新簽名相關應用,并使用自帶代碼防篡改機制的代碼混淆工具,可以緩解該漏洞影響,除此之外,對所有更新包除了進行簽名校驗外,還需進行其它邏輯校驗,如(升級包字節(jié)大小校驗或升級包md5校驗)。
目前,騰訊安全聯(lián)合實驗室反詐騙實驗室已經(jīng)分析并跟進Janus漏洞,病毒檢測引擎已經(jīng)支持Janus (CVE-2017-13156)漏洞利用的檢測;手機廠商、應用分發(fā)市場、瀏覽器等可以通過接入騰訊反詐騙實驗室提供的樣本檢測能力來檢測惡意的病毒樣本。騰訊安全反詐騙實驗室后續(xù)將持續(xù)關注黑產(chǎn)攻擊者對該漏洞的利用情況,并及時同步最新進展給合作伙伴。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 高燃直擊2024世界智能制造博覽會!譜寫智能制造領域全新篇章
- 中泰文化交流新篇章:賽氪與寰宇播客營聯(lián)合中南財經(jīng)政法大學及多方舉辦泰國留學生交流活動
- 2025醫(yī)藥數(shù)智營銷創(chuàng)新峰會“金創(chuàng)獎”獎項申報啟動!
- 2024第五屆亞太銀行數(shù)字化創(chuàng)新大會圓滿落幕
- 2024年被稱為“低空經(jīng)濟元年”!倒計時15天 | 2025中國eVTOL創(chuàng)新發(fā)展大會報名中
- 匯聚技術星火 點亮生態(tài)星空
- GTF2025攜航空和燃氣輪機全產(chǎn)業(yè)鏈優(yōu)勢資源全新回歸上海
- 潮玩風暴來襲,2025 ChinaJoy 潮玩手辦及模型展區(qū)招商火爆!
- 普渡機器人發(fā)布首款全人形機器人PUDU D9
- 【創(chuàng)新金融驅(qū)動力】2025中原金融科技節(jié)擘畫中原金融科技新未來!
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。